Lecture: 6 min.
Cloudflare est fière de montrer la voie avec son approche de la confidentialité et de la protection des informations personnelles. Nous nous sommes toujours placés en tant que fervents défenseurs de la nécessité d'une libre circulation des données au-delà des frontières juridictionnelles., C'est pourquoi aujourd'hui, à l'occasion de la Journée de la protection des données (également connue à l'international sous le nom de Data Protection Day), nous nous réjouissons d'annoncer l'ajout d'un quatrième et d'un cinquième point de validation de la confidentialité, une première au niveau mondial cette fois ! Cloudflare est la première entreprise à annoncer la réussite de notre audit vis-à-vis du tout nouveau système Global CBPR (Global Cross-Border Privacy Rules, règles mondiales en matière de confidentialité transfrontalière) destiné aux contrôleurs de données, ainsi que du système Global PRP (Global Privacy Recognition for Processors, reconnaissance mondiale de la confidentialité des sous-traitants de données). Ces cadres de validation démontrent notre soutien et notre adhésion aux normes mondiales qui assurent la mise en place de flux de données respectueux de la confidentialité entre les diverses juridictions. Les entreprises qui ont réussi leur audit en la matière seront formellement certifiées lors du lancement officiel de ces certifications, que nous attendons un peu plus tard au cours de l'année 2025.
Notre participation aux certifications Global CBPR et Global PRP rejoint notre liste de points de validation de la confidentialité. Nous avons été l'une des premières entreprises de cybersécurité à décrocher une certification dans le cadre de la norme internationale de confidentialité ISO 27701:2019 lorsqu'elle a été publiée. De même, en 2022, nous avons également obtenu notre certification concernant la norme régissant la confidentialité dans le cloud, ISO 27018:2019. En 2023, nous avons ajouté notre troisième point de validation de la confidentialité, après un examen par un organisme de contrôle indépendant de l'Union européenne (UE), avant de déclarer notre adhésion au premier code de conduite officiel du RGPD : le Code de conduite cloud de l'UE.
L'importance pour les clients de Cloudflare
En réunissant ces certifications de confidentialité, Cloudflare démontre son respect des principaux points de validations officiels de la confidentialité dans 39 juridictions à travers le monde, de l'Australie à l'Autriche, en passant par la Suède et les États-Unis. Quatre juridictions supplémentaires, le Royaume-Uni, les Bermudes, l'île Maurice et le Centre financier international (International Finance Centre, IFC) de Dubaï sont également en train de nous rejoindre et de reconnaître les certifications du Global CBPR. Il s'agit d'un aspect important pour les clients de Cloudflare, car ces certifications permettent de garantir que les pratiques que nous avons mises en place en matière de protection de la confidentialité des données sont reconnues par divers gouvernements autour du monde.
Qu'est-ce que le système Global CBPR ?
Divers gouvernements à travers le monde ont travaillé à la préparation de deux nouvelles normes internationales en matière de confidentialité ces trois dernières années. Une étape importante a été franchie le 30 avril 2024, avec la mise en place du système Global CBPR. Les CBPR constituent un système international, volontaire et exécutoire, fondé sur la responsabilité, permettant de faciliter la circulation des flux de données entre les économies des membres dans un cadre respectueux de la confidentialité. Elles assurent un niveau élémentaire de protection de la confidentialité aux consommateurs par l'intermédiaire d'un ensemble de règles régissant la manière dont sont traitées les informations personnelles. Cette approche facilite la libre circulation des données en préservant la confidentialité des consommateurs dans l'ensemble des pays participants, bien que chaque juridiction dispose de ses propres lois en matière de protection des données.
Le système CBPR a été développé par le Global CBPR Forum, un forum intergouvernemental réunissant les gouvernements d'Australie, du Canada, du Japon, de la République de Corée, du Mexique, des Philippines, de Singapour, du Taïpei chinois et des États-Unis. Le Royaume-Uni est également un membre associé du Forum CBPR, tout comme les Bermudes, l'île Maurice et l'IFC de Dubaï. Ce statut permet ainsi à ces juridictions de confirmer leur intention de devenir des membres à part entière à l'avenir.
Nous avons passé une bonne partie de l'année passée à nous préparer au lancement du système Global CBPR. Cloudflare a demandé à intégrer le système le 1er mai 2024, soit le tout premier jour après la mise en place de ce dernier. Nous avons désormais franchi l'étape majeure qui consiste à passer avec succès nos audits concernant ces exigences. Nous nous attendons à devenir la première entreprise au monde à bénéficier d'une nouvelle certification dans le cadre du système Global CBPR, ainsi que dans le cadre du système Global PRP associé, lorsque les entreprises pouvant officiellement être certifiées, soit un peu plus tard au cours de l'année 2025.
Les points couverts par le système Global CBPR
Le système Global CBPR contient une liste détaillée des 50 exigences auxquelles les entreprises doivent répondre pour bénéficier d'une certification à cet égard. Ces exigences découlent des neuf principes de confidentialité du système Global CBPR, qui sont cohérents avec les principes fondamentaux des Lignes directrices de l'organisation de coopération et de développement économiques (OCDE)concernant la protection de la vie privée et les flux transfrontaliers de données à caractère personnel. Ces 50 exigences couvrent la manière dont les entreprises doivent collecter, gérer et protéger les informations personnelles dont elles ont la garde. Les entreprises doivent satisfaire à chacune des 50 exigences pour décrocher la certification du Global CBPR. Les neuf principes qui sous-tendent ces exigences sont les suivants :
Prévention des dommages | Information | Limitation de la collecte |
Utilisation des informations personnelles | Choix | Intégrité des informations personnelles |
Mesures de sécurité des données | Droits d'accès et de rectification | Responsabilité |
Les neuf principes de confidentialité du système Global CBPR
La certification Global CBPR couvre le traitement des informations personnelles contrôlées par l'entreprise, comme les données personnelles des clients, des collaborateurs et des candidats à un emploi. Pour Cloudflare, cette certification inclut également les informations sur le réseau, c'est-à-dire nos observations sur la manière dont notre plateforme cloud mondiale gère les données liées aux serveurs, aux réseaux ou au trafic générées par Cloudflare dans le cadre de la prestation de nos services.
La certification Global PRP associée couvre quant à elle l'utilisation des informations personnelles traitées par l'entreprise pour le compte d'une autre entreprise, généralement un client. Les 18 exigences du système PRP se rapprochent des deux principes de confidentialité les plus pertinents lors du traitement de ces informations pour le compte d'une autre entreprise : les mesures de sécurité des données et la responsabilité. Pour Cloudflare, elles correspondent au traitement des données conformément à l'ATD (Addendum relatif au traitement des données) que nous signons avec tous nos clients, notamment et principalement, le contenu client circulant sur notre réseau et les journaux client générés par ces flux de données. Les entreprises doivent satisfaire à chacune de ces 18 exigences pour obtenir la certification Global PRP.
Examen approfondi de certaines des exigences du système Global CBPR
Comme nous l'avons remarqué, les exigences principales des systèmes Global CBPR et Global PRP couvrent les principes déjà bien connus en matière de protection des données, à savoir l'information, le choix, la limitation de la collecte (minimisation des données), le droit d'accès et de rectification de leurs données pour les personnes concernées, la proposition d'une sécurité adéquate, la prévention des dommages, l'intégrité des informations personnelles, la responsabilité et l'utilisation des informations personnelles. Des dizaines d'exigences s'appuient sur ces principes, nous n'allons donc en aborder que quelques-unes ici.
Penchons-nous tout d'abord sur le principe d'information. La question 1 résume l'une des exigences les plus évidentes du système CBPR :
Proposez-vous des documents clairs et facilement accessibles concernant vos pratiques et vos politiques régissant les données personnelles décrites ci-dessus (comme une déclaration de confidentialité) ?
La pratique visant à faire preuve de transparence concernant la collecte et l'utilisation des données personnelles constitue un principe clé de la confidentialité et de la protection des données. La transparence constitue d'ailleurs l'un des engagements fondamentaux de Cloudflare. Le fait de documenter nos pratiques et nos politiques relatives à la manière dont nous utilisons les informations personnelles permet à chacun de décider s'il souhaite communiquer ses informations. Il est donc préférable que la politique de confidentialité soit disponible et visible au moment de la collecte des informations. Ce concept d'information est clairement établi dans l'article 13 du RGPD de l'UE. Cloudflare répond à cette exigence du système CBPR en proposant une politique de confidentialité claire et accessible, visible depuis le pied de page de chaque page de notre site web. Nous proposons également un lien vers cette politique lorsque nous collectons des données personnelles, comme par l'intermédiaire d'un formulaire sur une page web.
Concernant la manière dont nous utilisons les informations personnelles, la question 8 s'exprime en ces termes :
Limitez-vous l'utilisation des informations personnelles que vous collectez (soit directement, soit celle des tiers agissant en votre nom), telles qu'identifiées par votre déclaration de confidentialité ?
Cloudflare s'engage depuis longtemps à n'utiliser que les informations personnelles que nous collectons aux fins de la fourniture des services que nous proposons. Notre activité se base sur le fait de proposer à nos clients les outils indispensables dont ils ont besoin pour protéger leurs applications réseau afin de les rendre plus rapides, plus sécurisées, plus fiables et plus privées. Notre Politique de confidentialité indique que « nous ne partagerons pas ni ne divulguerons autrement vos données personnelles, sauf si cela s'avère nécessaire pour fournir nos services, ou tel qu'autrement décrit dans la présente Politique, sans vous en avertir au préalable et vous accorder la possibilité de donner votre consentement ». Nous tenons à votre disposition également une documentation interne (conforme au principe de responsabilité du système CBPR) qui détaille les données que nous traitons et les fins auxquelles nous les traitons.
Un autre ensemble d'exigences essentielles du système Global CBPR et du système Global PR concerne les mesures de sécurité des données. La question 27 des exigences CBPR s'exprime en ce sens :
Pouvez-vous détailler les mesures de sécurité physiques, techniques et administratives que vous avez mises en œuvre pour protéger les informations personnelles contre les risques, comme la perte ou l'accès non autorisé, la destruction, l'utilisation, la modification ou la divulgation de données, ou d'autres cas d'utilisation abusive ?
La question 2 du système Global PRP reprend une exigence similaire :
Pouvez-vous détailler les mesures de sécurité physiques, techniques et administratives qui sous-tendent la politique de sécurité de l'information de votre entreprise ?
Cloudflare a mis en œuvre un programme de sécurité de l'information conforme à la famille de normes ISO/IEC 27000. Les détails du programme de sécurité de Cloudflare sont documentés dans l'annexe 2 (« Mesures de sécurité techniques et organisationnelles ») de l'Addendum relatif au traitement des données pour les clients Cloudflare, notamment les mesures de protection physiques, techniques et administratives mises en œuvre pour protéger les informations personnelles.
Concernant le principe de responsabilité, la question 46 cherche à savoir ce qui suit :
Avez-vous mis en place des mécanismes auprès de vos sous-traitants ultérieurs, de vos agents, de vos sous-traitants ou d'autres fournisseurs de services concernant les informations personnelles qu'ils traitent en votre nom afin de garantir le respect de vos obligations envers les individus ?
Lorsque nous faisons appel à des fournisseurs qui traitent nos informations personnelles, ou celles de nos clients, nous exigeons qu'ils signent un ATD avec nous. Cette opération nous permet de nous assurer que les engagements que nous prenons envers nos clients dans le cadre de nos accords avec nos clients sont à leur tour transmis à nos fournisseurs, notamment les exigences en matière de sécurité qui définissent leur responsabilité, ou la nôtre.
Nous sommes ravis du lancement des certifications Global CBPR, dont nous attendons le lancement officiel un peu plus tard en 2025. Nous sommes donc fiers d'annoncer à l'occasion de cette Journée de la protection des données que nous pouvons encore une fois démontrer notre engagement en faveur du respect des principes universels en matière de protection de la confidentialité des données personnelles.
Rendez-vous sur globalcbpr.org pour en apprendre davantage sur le système Global CBPR, le système Global PRP, télécharger la liste complète des exigences et vous tenir informés des actualités.
Rendez-vous dans notre Centre de confiance pour consulter les dernières informations sur nos certifications. Vous pouvez également télécharger un exemplaire de la liste de nos certifications et des rapports nous concernant dans le tableau de bord Cloudflare.